一,应用层
syn flood
--1,提取syn cookie(串行设备上读取包,序列号,hash出来的)
同一个,序列号+1,相同源地址请求的序列号是相同的。
syn proxy/syn gate也是相同的道理,用的少。
--2,首包丢弃
tcp会重传,但有缺点,会有延迟1-1.5s(源地址客户端重发)
--3,主动探测
清洗设备主动要求重发,速度快。(客户端也会重回,攻击有难度)
--4反射路由
得知源IP,判断是否可达
udp flood,icmp flood
--针对源IP限制bps,pps,没有太好办法
tcp connection(3将握手完毕,连接已经建立)
--设定阈值,达到则drop
--并发连接数(apache 连接数)
静态指纹
--需要抓包分析
二,网络层
1,是否是真实浏览器
验证码,js
频率
--ip+cookie确定单一客户端
--session变量计数
--单个url访问频率
--局限:不适合api类应用